interactive GDPR 2016/0679 PT

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3)	«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

6)	«Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

8)	«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

10)

«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

11)	«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

12)	«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

13)

«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

14)

«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

15)	«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

16)

«Estabelecimento principal»:

No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal;

No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento;

17)

«Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento;

18)	«Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica;

19)	«Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

20)

«Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta;

21)	«Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.o;

22)

«Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:

a)	O responsável pelo tratamento ou o subcontratante estar estabelecido no território do Estado-Membro dessa autoridade de controlo;

b)	Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados; ou

c)	Ter sido apresentada uma reclamação junto dessa autoridade de controlo;

23)

«Tratamento transfronteiriço»:

a)	O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou

b)	O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro;

24)

«Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União;

25)	«Serviços da sociedade da informação», um serviço definido no artigo 1.o, n.o 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (19);

26)	«Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

CAPÍTULO II

Princípios

Artigo 6.o

Licitude do tratamento

1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)	O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b)	O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c)	O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d)	O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e)	O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f)	O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a)	Pelo direito da União; ou

b)	Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a)	Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b)	O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)	A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;

d)	As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)	A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 9.o

Tratamento de categorias especiais de dados pessoais

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2. O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:

a)	Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado-Membro previr que a proibição a que se refere o n.o 1 não pode ser anulada pelo titular dos dados;

Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

c)	Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;

Se o tratamento for efetuado, no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos seus titulares;

e)	Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

f)	Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da suas função jurisdicional;

Se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.o 3;

Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional;

Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados.

3. Os dados pessoais referidos no n.o 1 podem ser tratados para os fins referidos no n.o 2, alínea h), se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes.

4. Os Estados-Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.

Artigo 26.o

Responsáveis conjuntos pelo tratamento

1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2. O acordo a que se refere o n.o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.

Artigo 28.o

Subcontratante

1. Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2. O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b)	Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

c)	Adota todas as medidas exigidas nos termos do artigo 32.o;

d)	Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;

f)	Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

5. O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40.o ou um procedimento de certificação aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.

6. Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42.o e 43.o.

7. A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

8. A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

9. O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.

10. Sem prejuízo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

Artigo 31.o

Cooperação com a autoridade de controlo

O responsável pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições.

Secção 2

Segurança dos dados pessoais

Artigo 37.o

Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a)	O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b)	As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c)	As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o.

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo.

Artigo 38.o

Posição do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39.o, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Artigo 39.o

Funções do encarregado da proteção de dados

1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a)	Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;

Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

c)	Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.o;

d)	Coopera com a autoridade de controlo;

e)	Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Secção 5

Códigos de conduta e certificação

Artigo 40.o

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a)	O tratamento equitativo e transparente;

b)	Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c)	A recolha de dados pessoais;

d)	A pseudonimização dos dados pessoais;

e)	A informação prestada ao público e aos titulares dos dados;

f)	O exercício dos direitos dos titulares dos dados;

g)	As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h)	As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.o;

i)	A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j)	A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k)	As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.o e 79.o.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o podem cumprir códigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade geral por força do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.o, n.o 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.o 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.o 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.o 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.o 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 41.o

Supervisão dos códigos de conduta aprovados

1. Sem prejuízo das funções e competências da autoridade de controlo competente ao abrigo dos artigos 57.o e 58.o, a supervisão de conformidade com um código de conduta nos termos do artigo 40.o pode ser efetuada por um organismo que tenha um nível adequado de competência relativamente ao objeto do código e esteja acreditado para o efeito pela autoridade de controlo competente.

2. O organismo a que se refere o n.o 1 pode ser acreditado para supervisão de conformidade com um código de conduta, se:

a)	Tiver demonstrado que goza de independência e dispõe dos conhecimentos necessários em relação ao objeto do código, de forma satisfatória para a autoridade de controlo competente;

b)	Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsáveis pelo tratamento e dos subcontratantes em questão para aplicar o código, verificar se estes respeitam as disposições do mesmo e rever periodicamente o seu funcionamento;

Tiver estabelecido procedimentos e estruturas para tratar reclamações relativas a violações do código ou à forma como o código tenha sido ou esteja a ser aplicado pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

d)	Demonstrar, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A autoridade de controlo competente apresenta os projetos de critérios para a acreditação do organismo referido no n.o 1 do presente artigo ao Comité, de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

4. Sem prejuízo das funções e competências da autoridade de controlo competente e do disposto no capítulo VIII, o organismo a que se refere o n.o 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem adequadas em caso de violações do código por um responsável pelo tratamento ou por um subcontratante, incluindo a suspensão ou exclusão desse responsável ou subcontratante do código. O referido organismo informa a autoridade de controlo competente dessas medidas e dos motivos que levaram à sua tomada.

5. A autoridade de controlo competente revoga a acreditação do organismo a que se refere o n.o 1 se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo violarem o presente regulamento.

6. O presente artigo não se aplica ao tratamento realizado por autoridades e organismos públicos.

Artigo 42.o

Certificação

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.o 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.o, n.o 3, ou pelo Comité por força do artigo 63.o. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.o, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

Artigo 43.o

Organismos de certificação

1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.o, n.o 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

a)	Pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o;

Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o.

2. Os organismos de certificação referidos no n.o 1 são acreditados em conformidade com o mesmo, apenas se:

a)	Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

b)	Se tiverem comprometido a respeitar os critérios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o;

c)	Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

e)	Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A acreditação dos organismos de certificação referida nos n.os 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o. No caso de acreditações nos termos do n.o 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

4. Os organismos de certificação a que se refere o n.o 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

5. Os organismos de certificação a que se refere o n.o 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

6. Os requisitos referidos no n.o 3 do presente artigo, e os critérios referidos no artigo 42.o, n.o 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.o 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.o, n.o 1.

9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

CAPÍTULO V

Transferências de dados pessoais para países terceiros ou organizações internacionais

Artigo 47.o

Regras vinculativas aplicáveis às empresas

1. Pelo procedimento de controlo da coerência previsto no artigo 63.o, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:

a)	Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;

b)	Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e

c)	Preencher os requisitos estabelecidos no n.o 2.

2. As regras vinculativas aplicáveis às empresas a que se refere o n.o 1 especificam, pelo menos:

a)	A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;

b)	As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;

c)	O seu caráter juridicamente vinculativo, a nível interno e externo;

A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;

Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;

A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;

g)	A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.o e 14.o;

As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.o ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;

i)	Os procedimentos de reclamação;

Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;

k)	Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;

O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);

Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e

n)	Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.

3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Artigo 52.o

Independência

1. As autoridades de controlo agem com total independência no na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento.

2. Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.

3. Os membros da autoridade de controlo abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível.

4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.

5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada.

6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que não afeta a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional.

Artigo 53.o

Condições gerais aplicáveis aos membros da autoridade de controlo

1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:

—	pelo Parlamento,

—	pelo Governo,

—	pelo Chefe de Estado, ou

—	por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.

2. Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.

3. As funções dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.

4. Os membros da autoridade de controlo só são exonerados se tiverem cometido uma falta grave ou se tiverem deixado de cumprir as condições exigidas para o exercício das suas funções.

Artigo 54.o

Regras aplicáveis à constituição da autoridade de controlo

1. Os Estados-Membros estabelecem, por via legislativa:

a)	A constituição de cada autoridade de controlo;

b)	As qualificações e as condições de elegibilidade necessárias para a nomeação dos membros de cada autoridade de controlo;

c)	As regras e os procedimentos de nomeação dos membros de cada autoridade de controlo;

A duração do mandato dos membros de cada autoridade de controlo, que não será inferior a quatro anos, salvo no caso do primeiro mandato após 24 de maio de 2016, e ser mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;

e)	Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;

f)	As condições que regem as obrigações dos membros e do pessoal de cada autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as regras que regem a cessação da relação de trabalho.

2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares de violações do presente regulamento.

Secção 2

Competência, atribuições e poderes

Artigo 57.o

Atribuições

1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

a)	Controla e executa a aplicação do presente regulamento;

b)	Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;

c)	Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;

d)	Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;

e)	Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;

Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.o, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

g)	Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;

h)	Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;

i)	Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

j)	Adota as cláusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);

k)	Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.o, n.o 4;

l)	Dá orientações sobre as operações de tratamento previstas no artigo 36.o, n.o 2;

m)	Incentiva a elaboração de códigos de conduta nos termos do artigo 40.o, n.o 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.o, n.o 5;

n)	Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.o, n.o 1, e aprova os critérios de certificação nos termos do artigo 42.o, n.o 5;

o)	Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.o, n.o 7;

p)	Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;

q)	Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;

r)	Autoriza as cláusulas contratuais e disposições previstas no artigo 46.o, n.o 3;

s)	Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o;

t)	Contribui para as atividades do Comité;

u)	Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2; e

v)	Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.

2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.

4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

Artigo 58.o

Poderes

1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

a)	Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;

b)	Realizar investigações sob a forma de auditorias sobre a proteção de dados;

c)	Rever as certificações emitidas nos termos do artigo 42.o, n.o 7;

d)	Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;

e)	Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;

f)	Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.

2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a)	Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b)	Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

c)	Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d)	Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

e)	Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;

f)	Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

g)	Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o;

h)	Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;

i)	Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

j)	Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.

3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:

a)	Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o;

b)	Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;

c)	Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia;

d)	Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5;

e)	Acreditar organismos de certificação nos termos do artigo 43.o;

f)	Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5;

g)	Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);

h)	Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a);

i)	Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b);

j)	Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o.

4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.

5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.

6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.

Artigo 60.o

Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas

1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.o e pode realizar operações conjuntas nos termos do artigo 62.o, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.

3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o.

5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

8. Em derrogação do n.o 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.

9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.

10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.

11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66.o.

12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado.

Artigo 69.o

Independência

1. O Comité é independente na prossecução das suas atribuições ou no exercício dos seus poderes, nos termos dos artigos 70.o e 71.o.

2. Sem prejuízo dos pedidos da Comissão referidos no artigo 70.o, n.o 1, alínea b), e n.o 2, o Comité não solicita nem recebe instruções de outrem na prossecução das suas atribuições ou no exercício dos seus poderes.

Artigo 72.o

Procedimento

1. Salvo disposição em contrário do presente regulamento, o Comité decide por maioria simples dos seus membros.

2. O Comité adota o seu regulamento interno por maioria de dois terços dos membros que o compõem e determina as suas regras de funcionamento.

Artigo 75.o

Secretariado

1. O Comité dispõe de um secretariado disponibilizado pela Autoridade Europeia para a Proteção de Dados.

2. O secretariado desempenha as suas funções sob a direção exclusiva do presidente do Comité.

3. O pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento está sujeito a uma hierarquia distinta do pessoal envolvido na prossecução das atribuições conferidas à Autoridade Europeia para a Proteção de Dados.

4. Quando for caso disso, o Comité e a Autoridade Europeia para a Proteção de Dados elaboram e publicam um memorando de entendimento que dê execução ao presente artigo e defina os termos da sua cooperação, aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento.

5. O secretariado fornece ao Comité apoio de caráter analítico, administrativo e logístico.

6. O secretariado é responsável, em especial:

a)	Pela gestão corrente do Comité;

b)	Pela comunicação entre os membros do Comité, o seu presidente e a Comissão;

c)	Pela comunicação com outras instituições e o público;

d)	Pelo recurso a meios eletrónicos para a comunicação interna e externa;

e)	Pela tradução de informações pertinentes;

f)	Pela preparação e acompanhamento das reuniões do Comité;

g)	Pela preparação, redação e publicação dos pareceres, das decisões em matéria de resolução de litígios entre autoridades de controlo e de outros textos adotados pelo Comité.

Artigo 83.o

Condições gerais para a aplicação de coimas

1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a)	A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b)	O caráter intencional ou negligente da infração;

c)	A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares;

d)	O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o;

e)	Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante;

f)	O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos;

g)	As categorias específicas de dados pessoais afetadas pela infração;

h)	A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;

i)	O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria;

j)	O cumprimento de códigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificação aprovados nos termos do artigo 42.o; e

k)	Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o e 43.o;

b)	As obrigações do organismo de certificação nos termos dos artigos 42.o e 43.o;

c)	As obrigações do organismo de supervisão nos termos do artigo 41.o, n.o 4;

5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.o, 6.o, 7.o e 9.o;

b)	Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o;

c)	As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.o a 49.o;

d)	As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX;

e)	O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de não facultar acesso, em violação do artigo 58.o, n.o 1.

6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.

8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados-Membros, incluindo o direito à ação judicial e a um processo equitativo.

9. Quando o sistema jurídico dos Estados-Membros não preveja coimas, pode aplicar-se o presente artigo de modo a que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo ao mesmo tempo que estas medidas jurídicas corretivas são eficazes e têm um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e dissuasivas. Os referidos Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do presente número até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 84.o

Sanções

1. Os Estados-Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo 7983.o, e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.

2. Os Estados-Membros notificam a Comissão das disposições do direito interno que adotarem nos termos do n.o 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

CAPÍTULO IX

Disposições relativas a situações específicas de tratamento

whereas

(5) A integração económica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiriços de dados pessoais.
O intercâmbio de dados entre intervenientes públicos e privados, incluindo as pessoas singulares, as associações e as empresas, intensificou-se na União Europeia.
As autoridades nacionais dos Estados-Membros são chamadas, por força do direito da União, a colaborar e a trocar dados pessoais entre si, a fim de poderem desempenhar as suas funções ou executar funções por conta de uma autoridade de outro Estado-Membro.

- = -

(6) A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais.
A recolha e a partilha de dados pessoais registaram um aumento significativo.
As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades.
As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global.
As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.

- = -

(8) Caso o presente regulamento preveja especificações ou restrições das suas regras pelo direito de um Estado-Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida do necessário para manter a coerência e tornar as disposições nacionais compreensíveis para as pessoas a quem se aplicam.

- = -

(10) A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados-Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
No que diz respeito ao tratamento de dados pessoais para cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, os Estados-Membros deverão poder manter ou aprovar disposições nacionais para especificar a aplicação das regras do presente regulamento.
Em conjugação com a legislação geral e horizontal sobre proteção de dados que dá aplicação à Diretiva 95/46/CE, os Estados-Membros dispõem de várias leis setoriais em domínios que necessitam de disposições mais específicas.
O presente regulamento também dá aos Estados-Membros margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais («dados sensíveis»).
Nessa medida, o presente regulamento não exclui o direito dos Estados-Membros que define as circunstâncias de situações específicas de tratamento, incluindo a determinação mais precisa das condições em que é lícito o tratamento de dados pessoais.

- = -

(13) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados-Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados-Membros.
O bom funcionamento do mercado interno impõe que a livre circulação de dados pessoais na União não pode ser restringida ou proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.
Para ter em conta a situação particular das micro, pequenas e médias empresas, o presente regulamento prevê uma derrogação para as organizações com menos de 250 trabalhadores relativamente à conservação do registo de atividades.
Além disso, as instituições e os órgãos da União, e os Estados-Membros e as suas autoridades de controlo, são incentivados a tomar em consideração as necessidades específicas das micro, pequenas e médias empresas no âmbito de aplicação do presente regulamento.
A noção de micro, pequenas e médias empresaster em conta deverá inspirar-se do artigo 2.o do anexo da Recomendação 2003/361/CE da Comissão (5).

- = -

(15) A fim de se evitar o sério risco sério de ser contornada a proteção das pessoas singulares, esta deverá ser neutra em termos tecnológicos e deverá ser independente das técnicas utilizadas.
A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros.
Os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.

- = -

(24) O tratamento de dados pessoais de titulares de dados que se encontrem na União por um responsável ou subcontratante que não esteja estabelecido na União deverá ser também abrangido pelo presente regulamento quando esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu comportamento tenha lugar na União.
A fim de determinar se uma atividade de tratamento pode ser considerada «controlo do comportamento» de titulares de dados, deverá determinar-se se essas pessoas são seguidas na Internet e a potencial utilização subsequente de técnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular, especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e as suas atitudes.

- = -

(28) A aplicação da pseudonimização aos dados pessoais pode reduzir os riscos para os titulares de dados em questão e ajudar os responsáveis pelo tratamento e os seus subcontratantes a cumprir as suas obrigações de proteção de dados.
A introdução explícita da «pseudonimização» no presente regulamento não se destina a excluir eventuais outras medidas de proteção de dados.

- = -

(47) Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável.
Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento.
De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade.
Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional.
Dado que incumbe ao legislador prever por lei o fundamento jurídico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas autoridades públicas na prossecução das suas atribuições.
O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento.
Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.

- = -

(59) Deverão ser previstas regras para facilitar o exercício pelo titular dos dados dos direitos que lhe são conferidos ao abrigo do presente regulamento, incluindo procedimentos para solicitar e, sendo caso disso, obter a título gratuito, em especial, o acesso a dados pessoais, a sua retificação ou o seu apagamento e o exercício do direito de oposição.
O responsável pelo tratamento deverá fornecer os meios necessários para que os pedidos possam ser apresentados por via eletrónica, em especial quando os dados sejam também tratados por essa via.
O responsável pelo tratamento deverá ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e o mais tardar no prazo de um mês e expor as suas razões quando tiver intenção de recusar o pedido.

- = -

(60) Os princípios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da operação de tratamento de dados e das suas finalidades.
O responsável pelo tratamento deverá fornecer ao titular as informações adicionais necessárias para assegurar um tratamento equitativo e transparente tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais forem tratados.
O titular dos dados deverá também ser informado da definição de perfis e das consequências que daí advêm.
Sempre que os dados pessoais forem recolhidos junto do titular dos dados, este deverá ser também informado da eventual obrigatoriedade de fornecer os dados pessoais e das consequências de não os facultar.
Essas informações podem ser fornecidas em combinação com ícones normalizados a fim de dar, de modo facilmente visível, inteligível e claramente legível uma útil perspetiva geral do tratamento previsto.
Se forem apresentados por via eletrónica, os ícones deverão ser de leitura automática.

- = -

(63) Os titulares de dados deverão ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razoáveis, a fim de conhecer e verificar a tomar conhecimento do tratamento e verificar a sua licitude.
Aqui se inclui o seu direito de acederem a dados sobre a sua saúde, por exemplo os dados dos registos médicos com informações como diagnósticos, resultados de exames, avaliações dos médicos e quaisquer intervenções ou tratamentos realizados.
Por conseguinte, cada titular de dados deverá ter o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais são tratados, quando possível do período durante o qual os dados são tratados, da identidade dos destinatários dos dados pessoais, da lógica subjacente ao eventual tratamento automático dos dados pessoais e, pelo menos quando tiver por base a definição de perfis, das suas consequências.
Quando possível, o responsável pelo tratamento deverá poder facultar o acesso a um sistema seguro por via eletrónica que possibilite ao titular aceder diretamente aos seus dados pessoais.
Esse direito não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software.
Todavia, essas considerações não deverão resultar na recusa de prestação de todas as informações ao titular dos dados.
Quando o responsável proceder ao tratamento de grande quantidade de informação relativa ao titular dos dados, deverá poder solicitar que, antes de a informação ser fornecida, o titular especifique a que informações ou a que atividades de tratamento se refere o seu pedido.

- = -

(68) Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável.
Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados.
Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para o cumprimento de um contrato.
Não deverá ser aplicável se o tratamento se basear num fundamento jurídico que não seja o consentimento ou um contrato.
Por natureza própria, esse direito não deverá ser exercido em relação aos responsáveis pelo tratamento que tratem dados pessoais na prossecução das suas atribuições públicas.
Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável esteja sujeito, para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento.
O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis.
Quando um determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente regulamento.
Além disso, esse direito também não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais nem as restrições a esse direito estabelecidas no presente regulamento e, nomeadamente, não deverá implicar o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais forem necessários para a execução do referido contrato.
Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.

- = -

(78) A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento.
Para poder comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito.
Tais medidas podem incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais o mais cedo possível, a transparência no que toca às funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança.
No contexto do desenvolvimento, conceção, seleção e utilização de aplicações, serviços e produtos que se baseiam no tratamento de dados pessoais ou recorrem a este tratamento para executarem as suas funções, haverá que incentivar os fabricantes dos produtos, serviços e aplicações a ter em conta o direito à proteção de dados quando do seu desenvolvimento e conceção e, no devido respeito pelas técnicas mais avançadas, a garantir que os responsáveis pelo tratamento e os subcontratantes estejam em condições de cumprir as suas obrigações em matéria de proteção de dados.
Os princípios de proteção de dados desde a conceção e, por defeito, deverão também ser tomados em consideração no contexto dos contratos públicos.

- = -

(80) Sempre que um responsável pelo tratamento ou um subcontratante não estabelecidos na União efetuarem o tratamento de dados pessoais de titulares de dados que se encontrem na União, e as suas atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados na União, independentemente de a estes ser exigido um pagamento, ou com o controlo do seu comportamento na medida que o seu comportamento tenha lugar na União, o responsável pelo tratamento ou o subcontratante deverão designar um representante, a não ser que o tratamento seja ocasional, não inclua o tratamento, em larga escala, de categorias especiais de dados pessoais, nem o tratamento de dados pessoais relativos a condenações penais e infrações, e não seja suscetível de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento ou se o responsável pelo tratamento for uma autoridade ou organismo público.
O representante deverá agir em nome do responsável pelo tratamento ou do subcontratante e deverá poder ser contactado por qualquer autoridade de controlo.
O representante deverá ser explicitamente designado por um mandato do responsável pelo tratamento ou do subcontratante, emitido por escrito, que permita ao representante agir em seu nome no que diz respeito às obrigações que lhes são impostas pelo presente regulamento.
A designação de um tal representante não afeta as responsabilidades que incumbem ao responsável pelo tratamento ou ao subcontratante nos termos do presente regulamento.
O representante deverá executar as suas tarefas em conformidade com o mandato que recebeu do responsável pelo tratamento ou do subcontratante, incluindo no que toca à cooperação com as autoridades de controlo competentes relativamente a qualquer ação empreendida no sentido de garantir o cumprimento do presente regulamento.
O representante designado deverá estar sujeito a procedimentos de execução em caso de incumprimento pelo responsável pelo tratamento ou pelo subcontratante.

- = -

(87) Há que verificar se foram aplicadas todas as medidas tecnológicas de proteção e de organização para apurar imediatamente a ocorrência de uma violação de dados pessoais e para informar rapidamente a autoridade de controlo e o titular.
Para comprovar que a notificação foi enviada sem demora injustificada importa ter em consideração, em especial, a natureza e a gravidade da violação dos dados pessoais e as respetivas consequências e efeitos adversos para o titular dos dados.
Essa notificação poderá resultar numa intervenção da autoridade de controlo em conformidade com as suas funções e competências, definidas pelo presente regulamento.

- = -

(94) Sempre que uma avaliação de impacto relativa à proteção de dados indicar que o tratamento, na falta de garantias e de medidas e procedimentos de segurança para atenuar os riscos, implica um elevado risco para os direitos e liberdades das pessoas singulares e o responsável pelo tratamento considerar que o risco não poderá ser atenuado através de medidas razoáveis, atendendo à tecnologia disponível e aos custos de aplicação, a autoridade de controlo deverá ser consultada antes de as atividades de tratamento terem início.
Provavelmente, esse elevado risco decorre de determinados tipos de tratamento e da extensão e frequência do tratamento, que podem originar igualmente danos ou interferir com os direitos e liberdades da pessoa singular.
A autoridade de controlo deverá responder ao pedido de consulta dentro de um determinado prazo.
Contudo, a ausência de reação da autoridade de controlo no decorrer desse prazo não prejudicará qualquer intervenção que esta autoridade venha a fazer em conformidade com as suas funções e competências, definidas pelo presente regulamento, incluindo a competência para proibir certas operações de tratamento.
No âmbito desse processo de consulta, o resultado de uma avaliação do impacto sobre a proteção de dados efetuada relativamente ao tratamento em questão pode ser apresentado à autoridade de controlo, em especial as medidas previstas para atenuar o risco para os direitos e liberdades das pessoas singulares.

- = -

(97) Sempre que o tratamento dos dados for efetuado por uma autoridade pública, com exceção dos tribunais ou de autoridades judiciais independentes no exercício da sua função jurisdicional, sempre que, no setor privado, for efetuado por um responsável pelo tratamento cujas atividades principais consistam em operações de tratamento que exijam o controlo regular e sistemático do titular dos dados em grande escala, ou sempre que as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados pessoais e de dados relacionados com condenações penais e infrações, o responsável pelo tratamento destes ou o subcontratante pode ser assistido por um especialista em legislação e prática de proteção dados no controlo do cumprimento do presente regulamento a nível interno.
No setor privado, as atividades principais do responsável pelo tratamento dizem respeito às suas atividades primárias e não estão relacionadas com o tratamento de dados pessoais como atividade auxiliar.
O nível necessário de conhecimentos especializados deverá ser determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo seu tratamento ou pelo subcontratante.
Estes encarregados da proteção de dados, sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência.

- = -

(106) A Comissão deverá controlar a eficácia das decisões sobre o nível de proteção assegurado num país terceiro, num território ou num setor específico de um país terceiro, ou numa organização internacional, e acompanhar a eficácia das decisões adotadas com base no artigo 25.o, n.o 6, ou no artigo 26.o, n.o 4, da Diretiva 95/46/CE.
Nas suas decisões de adequação, a Comissão deverá prever um procedimento de avaliação periódica da aplicação destas.
Essa revisão periódica deverá ser feita em consulta com o país terceiro ou a organização internacional em questão e ter em conta todos os desenvolvimentos pertinentes verificados no país terceiro ou organização internacional.
Para efeitos de controlo e de realização das revisões periódicas, a Comissão deverá ter em consideração os pontos de vista e as conclusões a que tenham chegado o Parlamento Europeu e o Conselho, bem como outros organismos e fontes pertinentes.
A Comissão deverá avaliar, num prazo razoável, a eficácia destas últimas decisões e comunicar quaisquer resultados pertinentes ao comité na aceção do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (12), tal como estabelecido no presente regulamento, ao Parlamento Europeu e ao Conselho.

- = -

(110) Os grupos empresariais ou os grupos de empresas envolvidas numa atividade económica conjunta deverão poder utilizar as regras vinculativas aplicáveis às empresas aprovadas para as suas transferências internacionais da União para entidades pertencentes ao mesmo grupo empresarial ou grupo de empresas envolvidas numa atividade económica conjunta, desde que essas regras incluam todos os princípios essenciais e direitos oponíveis que visem assegurar garantias adequadas às transferências ou categorias de transferências de dados pessoais.

- = -

(116) Sempre que dados pessoais atravessarem fronteiras fora do território da União, aumenta o risco de que as pessoas singulares não possam exercer os seus direitos à proteção de dados, nomeadamente para se protegerem da utilização ilegal ou da divulgação dessas informações.
Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento a reclamações ou conduzir investigações relacionadas com atividades exercidas fora das suas fronteiras.
Os seus esforços para colaborar no contexto transfronteiras podem ser também restringidos por poderes preventivos ou medidas de reparação insuficientes, regimes jurídicos incoerentes e obstáculos práticos, tais como a limitação de recursos.
Por conseguinte, revela-se necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados, a fim de que possam efetuar o intercâmbio de informações e realizar investigações com as suas homólogas internacionais.
Para efeitos de criação de regras de cooperação internacional que facilitem e proporcionem assistência mútua internacional para a aplicação da legislação de proteção de dados pessoais, a Comissão e as autoridades de controlo deverão trocar informações e colaborar com as autoridades competentes de países terceiros em atividades relacionadas com o exercício dos seus poderes, com base na reciprocidade e em conformidade com o presente regulamento.

- = -

(117) A criação de autoridades de controlo nos Estados-Membros, habilitadas a desempenhar as suas funções e a exercer os seus poderes com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais.
Os Estados-Membros deverão poder criar mais do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e administrativa.

- = -

(118) A independência das autoridades de controlo não deverá implicar que estas autoridades não possam ser sujeitas a procedimentos de controlo ou monitorização no que diz respeito às suas despesas nem a fiscalização judicial.

- = -

(120) Deverão ser dados às autoridades de controlo os recursos financeiros e humanos, as instalações e as infraestruturas necessárias ao desempenho eficaz das suas atribuições, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo da União.
As autoridades de controlo deverão ter orçamentos anuais públicos separados, que poderão estar integrados no orçamento geral do Estado ou nacional.

- = -

(121) As condições gerais aplicáveis aos membros da autoridade de controlo deverão ser definidas por lei em cada Estado-Membro e deverão prever, em especial, que os referidos membros sejam nomeados, com recurso a um processo transparente, pelo Parlamento, pelo Governo ou pelo Chefe de Estado do Estado-Membro com base numa proposta do Governo, de um dos seus membros, do Parlamento ou de uma sua câmara, ou por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.
A fim de assegurar a independência da autoridade de controlo, os membros que a integram deverão exercer as suas funções com integridade, abster-se de qualquer ato incompatível com as mesmas e, durante o seu mandato, não deverão exercer nenhuma atividade, seja ou não remunerada, que com elas seja incompatível.
A autoridade de controlo deverá dispor do seu próprio pessoal, selecionado por si mesma ou por um organismo independente criado nos termos do direito do Estado-Membro, que deverá estar exclusivamente sujeito à orientação do membro ou membros da autoridade de controlo.

- = -

(124) Quando o tratamento de dados pessoais ocorra no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante na União e o responsável pelo tratamento ou o subcontratante esteja estabelecido em vários Estados-Membros, ou quando o tratamento no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, na União, afete ou seja suscetível de afetar substancialmente titulares de dados em diversos Estados-Membros, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante deverá agir na qualidade de autoridade de controlo principal.
Esta autoridade deverá cooperar com as outras autoridades interessadas, porque o responsável pelo tratamento ou o subcontratante tem um estabelecimento no território do seu Estado-Membro, porque há titulares de dados residentes no seu território que são substancialmente afetados, ou porque lhe foi apresentada uma reclamação.
Além do mais, quando tenha sido apresentada uma reclamação por um titular de dados que não resida nesse Estado-Membro, a autoridade de controlo à qual a reclamação tiver sido apresentada deverá ser também autoridade de controlo interessada.
No âmbito das suas funções de emissão de orientações sobre qualquer assunto relativo à aplicação do presente regulamento, o Comité deverá poder emitir orientações nomeadamente sobre os critérios a ter em conta para apurar se o tratamento em causa afeta substancialmente titulares de dados em mais do que um Estado-Membro e sobre aquilo que constitui uma objeção pertinente e fundamentada.

- = -

(133) As autoridades de controlo deverão prestar-se mutuamente assistência no desempenho das suas funções, por forma a assegurar a execução e aplicação coerentes do presente regulamento no mercado interno.
A autoridade de controlo que solicite assistência mútua pode adotar uma medida provisória se não obtiver resposta relativamente a um pedido de assistência mútua no prazo de um mês a contar da receção desse pedido da outra autoridade de controlo.

- = -

(135) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deverá ser criado um procedimento de controlo da coerência e para a cooperação entre as autoridades de controlo.
Esse procedimento deverá ser aplicável, nomeadamente, quando uma autoridade de controlo tenciona adotar uma medida que vise produzir efeitos legais em relação a operações de tratamento que afetem substancialmente um número significativo de titulares de dados em vários Estados-Membros.
Deverá aplicar-se igualmente sempre que uma autoridade de controlo interessada, ou a Comissão, solicitar que essa matéria seja tratada no âmbito do procedimento de controlo da coerência.
Esse procedimento não deverá prejudicar medidas que a Comissão possa tomar no exercício das suas competências nos termos dos Tratados.

- = -

(139) A fim de promover a aplicação coerente do presente regulamento, o Comité deverá ser um órgão independente da União.
Para atingir os seus objetivos, o Comité deverá ser dotado de personalidade jurídica.
O Comité é representado pelo seu presidente.
Este Comité deverá substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.o da Diretiva 95/46/CE.
Deverá ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados ou pelos seus representantes.
A Comissão deverá participar nas atividades do Comité, mas sem direito de voto, e a Autoridade Europeia para a Proteção de Dados deverá também participar nas suas atividades com direito de voto em casos particulares.
O Comité deverá contribuir para a aplicação coerente do presente regulamento em toda a União, incluindo mediante o aconselhamento da Comissão, nomeadamente no que respeita ao nível de proteção em países terceiros ou em organizações internacionais, e mediante a promoção da cooperação das autoridades de controlo em toda a União.
O Comité deverá ser independente no prossecução das suas atribuições.

- = -

(150) A fim de reforçar e harmonizar as sanções administrativas para violações sdo presente regulamento, as autoridades de controlo deverão ter competência para impor coimas.
O presente regulamento deverá definir as violações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes, que deverá ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente, em particular, a natureza, a gravidade e a duração da violação e das suas consequências e as medidas tomadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências da infração.
Sempre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.o e 102.o do TFUE para esse efeito.
Sempre que forem impostas coimas a pessoas que não sejam empresas, a autoridade de supervisão deverá ter em conta o nível geral de rendimentos no Estado-Membro, bem como a situação económica da pessoa em questão, no momento de estabelecer o montante adequado da coima.
O procedimento de controlo da coerência pode ser utilizado igualmente para a promoção de uma aplicação coerente das coimas.
Deverá caber aos Estados-Membros determinar se as autoridades públicas deverão estar sujeitas a coimas, e em que medida.
A imposição de uma coima ou o envio de um aviso não afetam o exercício de outros poderes das autoridades de controlo ou a aplicação de outras sanções previstas no presente regulamento.

- = -

(151) Os sistemas jurídicos da Dinamarca e da Estónia não conhecem as coimas tal como são previstas no presente regulamento.
As regras relativas às coimas podem ser aplicadas de modo que a coima seja imposta, na Dinamarca, pelos tribunais nacionais competentes como sanção penal e, na Estónia, pela autoridade de controlo no âmbito de um processo por infração menor, na condição de tal aplicação das regras nestes Estados-Membros ter um efeito equivalente às coimas impostas pelas autoridades de controlo.
Por esse motivo, os tribunais nacionais competentes deverão ter em conta a recomendação da autoridade de controlo que propõe a coima.
Em todo o caso, as coimas impostas deverão ser efetivas, proporcionadas e dissuasivas.

- = -

(152) Sempre que o presente regulamento não harmonize sanções administrativas, ou se necessário noutros casos, por exemplo, em caso de infrações graves às disposições do presente regulamento, os Estados-Membros deverão criar um sistema que preveja sanções efetivas, proporcionadas e dissuasivas.
A natureza das sanções, penal ou administrativa, deverá ser determinada pelo direito do Estado-Membro.

- = -

(164) No que se refere aos poderes das autoridades de controlo para obter, junto do responsável pelo tratamento ou do subcontratante, o acesso aos dados pessoais e o acesso às suas instalações, os Estados-Membros podem adotar no seu ordenamento jurídico, dentro dos limites do presente regulamento, normas específicas que visem preservar o sigilo profissional ou outras obrigações equivalentes, na medida do necessário para conciliar o direito à proteção dos dados pessoais com a obrigação de sigilo profissional.
Tal não prejudica as obrigações de adotar regras em matéria de sigilo profissional a que os Estados-Membros fiquem sujeitos por força do direito da União.

- = -

(171) A Diretiva 95/46/CE deverá ser revogada pelo presente regulamento.
Os tratamentos de dados que se encontrem já em curso à data de aplicação do presente regulamento deverão passar a cumprir as suas disposições no prazo de dois anos após a data de entrada em vigor.
Se o tratamento dos dados se basear no consentimento dado nos termos do disposto na Diretiva 95/46/CE, não será necessário obter uma vez mais o consentimento do titular dos dados, se a forma pela qual o consentimento foi dado cumprir as condições previstas no presente regulamento, para que o responsável pelo tratamento prossiga essa atividade após a data de aplicação do presente regulamento.
As decisões da Comissão que tenham sido adotadas e as autorizações que tenham emitidas pelas autoridades de controlo com base na Diretiva 95/46/CE, permanecem em vigor até ao momento em que sejam alteradas, substituídas ou revogadas.

- = -

dal 2004 diritto e informatica